LA GESTION DES ÉVÈNEMENTS ET DES INCIDENTS DE SÉCURITÉ NE PEUT PAS ÊTRE CONFONDUE AVEC LE PLAN DE CONTINUITÉ D'ACTIVITÉ

Dimension: px
Commencer à balayer dès la page:

Download "LA GESTION DES ÉVÈNEMENTS ET DES INCIDENTS DE SÉCURITÉ NE PEUT PAS ÊTRE CONFONDUE AVEC LE PLAN DE CONTINUITÉ D'ACTIVITÉ"

Transcription

1 Auteur : Lionel GUILLET Expert en Management de la Sécurité de l Information LA GESTION DES ÉVÈNEMENTS ET DES INCIDENTS DE SÉCURITÉ NE PEUT PAS ÊTRE CONFONDUE AVEC LE PLAN DE CONTINUITÉ D'ACTIVITÉ Ce n'est pas une inondation centennale, ce n'est pas une pandémie ou un incendie grave, non, ce n'est pas un sinistre majeur, c'est un incident de sécurité qui peut pourtant se révéler catastrophique pour une entreprise jusqu'à remettre en cause la poursuite de son activité. C'est pourquoi l'une des premières actions à inscrire dans un Système de Management de la Sécurité de l'information (S.M.S.I.), c'est la mise en place d'un dispositif d'alerte et de traitement des risques fonctionnels et opérationnels attachés aux activités. C'est un processus de sécurité essentiel. D'abord parce qu'il doit permettre d'intervenir vite et bien pour limiter les conséquences d'un incident et le prévenir par la suite. Mais aussi, servi par une communication efficace sur son objet et ses résultats, il doit favoriser la sensibilisation de l'ensemble des utilisateurs du système d'information de l'entreprise aux objectifs poursuivis et aux risques encourus afin d'obtenir cette mobilisation collective indispensable à la protection de l'information grâce à une meilleure connaissance des risques et des moyens de s'en préserver. Par contre, pas n'importe quoi n'importe comment. En effet, la démarche doit faire l'objet d'un dispositif et d'une procédure formellement définis et publiés à partir du respect de quelques fondamentaux sous peine, dans ce domaine aussi, de désordre et de confusion des rôles et des interventions. C'est le propos de notre article rédigé en vérifiant (un peu) le cadre normatif, la norme Iso 27035, mais en proposant (surtout) à votre commentaire et vos contributions l'expression d'une expérience personnelle dans le domaine. IL FAUT DÉFINIR LE PÉRIMÈTRE DE CETTE ACTION LE DISPOSITIF CONCERNE LES ÉVÈNEMENTS LIÉS À LA SÉCURITÉ DE L'INFORMATION, PAS SEULEMENT LES INCIDENTS, PAS SEULEMENT LES INCIDENTS INFORMATIQUES La démarche adresse les incidents, mais aussi les failles et les faiblesses du système d'information. Évènement ou incident la norme ISO distingue : Copyright BCP-Expert xxx

2 les évènements, ce sont des failles de la politique de sécurité, des échecs dans les mesures, des situations non gérées les incidents qui sont des évènements (!) de nature à compromettre les activités de l'organisation et à menacer la sécurité de l'information. Évènement ou incident, ce qu'il convient de retenir c'est que la norme ISO 27001, pour la mise en œuvre d'un Système de Management de la Sécurité de l'information, et la norme 27035, dédiée à notre sujet, confondent les deux notions pour exprimer leurs recommandations. C'est pourquoi, à notre sens, le terme "évènement" convient mieux que le terme restrictif "incident" pour désigner ce processus de large périmètre qu'il faut définir et formaliser. En effet, il traite, sauf mis à part d'un domaine objet d'une action particulière, l'ensemble des évènements liés à la Sécurité de l'information dans tous les domaines listés à la norme Iso (Cf. document "Pour inscrire le PCA dans la durée" ). une défaillance dans la protection de données à caractère personnel, une vulnérabilité d'accès physique... en feront partie. Naturellement, les incidents informatiques sont concernés en tout premier lieu, mais, à la condition de souscrire aux critères d'évaluation en termes de portée, d'impact, de durée (par exemple, la désactivation d'un anti-virus sur un poste de travail, la panne d'un disque dur n'entreront pas dans ce cadre). TOUTES LES SITUATIONS POTENTIELLEMENT DANGEREUSES OU NE SERAIENT-CE QUE SUSPECTES DE L'ÊTRE Failles, vulnérabilités, nous l'avons dit, IL PEUT S'AGIR DE SITUATIONS SANS CONSEQUENCES REELLES IMMEDIATES mais qui présentent des risques pour l'information dans son intégrité, sa disponibilité et sa confidentialité. Et plus, dans un contexte où les menaces se font de plus "professionnelles", il ne faut pas s'épargner d'inviter les utilisateurs du système d'information de l'entreprise à signaler également LES SITUATIONS qui leur paraissent SUSPECTES. Dans ces conditions, évènements ou incidents, réels ou potentiels, voire suspectés la notion doit faire l'objet d'une définition précise dans la procédure afin de limiter les interprétations erronées et les dérives d'usage. Egalement, la publication d'une liste générique des menaces et des vulnérabilités, de leurs causes et de leur origine, ne peut qu'aider les utilisateurs du S.I. dans un rôle majeur, la détection et la description de premier niveau de l'évènement. Copyright BCP-Expert Avril

3 Il y en a d'autres, mais, la base de connaissances de la méthode EBIOS publiée par l'anssi peut aider dans l'élaboration de ce référentiel, tel quel ou adapté aux spécificités d'activité de l'entreprise 1. Dernière recommandation, afin d éviter la multiplication des alertes intempestives, il est utile de proposer aux utilisateurs du système d information la possibilité de joindre la personne ou le service habilité à recevoir le signalement en cas de doute sur l opportunité de déclencher le dispositif. TOUTES LES ENTREPRISES DE TOUTE TAILLE ET DE TOUTE NATURE SONT INTÉRESSÉES Les risques et les besoins de Sécurité ne sont pas liés à la taille de l'entreprise. Ils dépendent des exigences d'activité, du patrimoine informationnel et des enjeux métiers mis en évidence à l'analyse. Petite, moyenne ou grande, l'entreprise doit protéger son système d'information en mettant en place les dispositifs nécessaires à cet effet, notamment un dispositif d'alerte et de suivi des évènements de nature à mettre en danger son système d'information. 2 Il est vrai que les petites entreprises sont confrontées à des limites de moyens. Il n'en demeure pas moins qu'elles ne sont pas épargnées par les risques attachés à leurs activités. Il leur est donc plus que recommandé de mettre en place, elles aussi, dans leur contexte, des mesures de détection / correction des évènements de sécurité basées sur les principes publiés et présentés dans cet article. IL FAUT SE PRÉPARER DÉTECTER ET ÉLIMINER UN RISQUE LE PLUS RAPIDEMENT POSSIBLE, LA DÉMARCHE VAUT BIEN UN PROCESSUS Un simple listage des principaux avantages d'une approche organisée de la gestion des évènements de sécurité suffit pour mettre en évidence les avantages de cette gestion : Favoriser l'efficacité et l'efficience d'interventions Limiter les conséquences des dysfonctionnements du S.I. sur les activités Identifier et mettre en œuvre des actions correctives et préventives Faciliter le diagnostic par la constitution d'une base d'incidents et de solutions de référence Disposer d'exemples concrets de risques pour communiquer et sensibiliser tous les personnels Conserver la trace des interventions afin de disposer de preuves si nécessaire 3 1 Par commodité, le vocable "entreprise" désignera dans l'article toutes les formes d'organisation intéressées par le sujet, les unités économiques du secteur privé, les administrations et services publics, les associations 2 Un rappel essentiel. Le système d'information est encore trop souvent confondu avec le système informatique qui n'en est qu'un composant, un composant prééminent, certes, mais Le système d'information désigne l'ensemble des moyens nécessaires à la collecte, au traitement, à la conservation de l'information (organisation, ressources humaines, réglementations, moyens matériels, réseau ) Copyright BCP-Expert Avril

4 Valoriser la Politique de Sécurité de l'information de l'entreprise, sa mise en œuvre, mais aussi, permettre sa mise à jour à partir de cette approche par les risques Démontrer, pour la Direction, l'attention portée à la préservation des biens et des activités de l'entreprise tant en interne qu'auprès de partenaires et des clients Un dispositif de gestion des incidents au point doit donc aboutir à une amélioration du niveau général de Sécurité de l Information de l'organisation. QUI DIT PROCESSUS, DIT PROCÉDURE ET ORGANISATION POUR ÊTRE PRÊT LE MOMENT VENU La formule est connue, mais il faut la rappeler. La question qui se pose n'est pas, "Que ferai-je s'il arrive un incident de sécurité?" mais plutôt, "Que ferai-je quand arrivera un incident de sécurité? La démarche ne s'improvise pas en situation de difficulté, en effet. C'est une évidence, mais il convient de le rappeler, car, encore trop souvent, même si la prise de conscience progresse, les entreprises ne se sentent pas directement exposées aux menaces et aux risques qui, pourtant, s'accentuent avec l'évolution des moyens d'accès, de traitement et de communication de l'information et de leurs usages. Il faut donc préparer, organiser, prévoir les moyens à mettre en œuvre. Pour cela UNE PROCEDURE doit décrire les différentes étapes de gestion, l'organisation mise en place, les intervenants, les interventions et leurs modalités. Voyons tout cela d'un peu plus près LES ÉTAPES POUR FAIRE LE TOUR DE LA QUESTION LA DÉTECTION ET L'ALERTE L'AFFAIRE DE TOUS LES UTILISATEURS DU SYSTÈME D'INFORMATION Essentiel. La performance du système repose sur LA VIGILANCE ET LA REACTIVITE DE L'ENSEMBLE DES PERSONNELS afin de détecter et de traiter les incidents/évènements le plus rapidement possible. C'est d'autant plus vrai aujourd'hui qu'avec le développement de la cybercriminalité, de nouvelles menaces sont apparues. Les attaques se font de plus en plus souvent discrètes, ciblées, très élaborées, difficilement détectables. Par exemple, c'est le cas des "attaques persistantes avancées" qui utilisent des méthodes de sollicitations personnalisées, des méthodes d'ingénierie sociale, pour s'introduire, et se maintenir, dans un système d'information précisément identifié. En plus, elles ont régulièrement un temps d'avance sur les solutions techniques de protection. 3 La preuve, la recherche en responsabilité, pour être établie, doit satisfaire des conditions strictes de collecte, de conservation et de production. La formalisation des conditions à satisfaire relève de compétences juridiques. Copyright BCP-Expert Avril

5 Conséquence, face à cette réalité, le recoupement de SIGNALEMENTS spontanés D'EVENEMENTS SUSPECTS ne peut que donner de meilleures chances d'identifier les attaques de ce type. (Il ne faut pas perdre de vue que des affaires de vol d'informations comme celles qui se sont produites au ministère des finances, début 2011, et auprès de l'élysée, mi 2012, ont été détectées par des utilisateurs qui ont alerté sur des mouvements suspects de courrier électronique). Pas de doute, LA SENSIBILISATION des personnels, DE TOUS LES PERSONNELS, à la démarche et à ses enjeux est essentielle à son efficacité. Elle sera utilement complétée par UNE INITIATION CONCRETE AUX RISQUES les plus courants pour les utilisateurs (reconnaître un message douteux, un fichier suspect, utiliser une clé USB avec précaution, signaler une alerte virale ) MAIS AUSSI, il faut impliquer dans cette démarche TOUS LES UTILISATEURS DU SYSTEME D'INFORMATION DE L'ENTREPRISE, prestataires, fournisseurs, partenaires, clients en leur communiquant les informations nécessaires en temps utile et sous les formes adaptées. Donc, pour alerter, il faut avoir compris les enjeux, mais, il faut avoir aussi connaissance de la procédure et des modalités de signalement mis en place. POUR ALERTER, UN ÉCRIT ÉLECTRONIQUE STRUCTURÉ, UN FORMULAIRE Ils peuvent précéder dans l'urgence son envoi, mais, plutôt que le téléphone, la messagerie, la remontée hiérarchique des informations, UN SUPPORT ELECTRONIQUE DE DESCRIPTION DE SITUATION comprenant les premières informations indispensables, un support, COMMODEMENT ACCESSIBLE A TOUS LES UTILISATEURS DU SECURITE DE L INFORMATION, fait parfaitement l'affaire. Le formulaire électronique présente l'avantage, en effet, de faciliter la communication, la mise en partage, l'enrichissement et la conservation d'informations structurées pour une utilisation ultérieure. Son envoi DANS LES MEILLEURS DELAIS bien évidemment, sera effectué DANS LE CADRE D'UN CIRCUIT DE TRANSMISSION FORMELLEMENT ETABLIE. (Un modèle de document vous est proposé en annexe). Et ce support, même adressé pour information à des autorités hiérarchiques concernées, a un seul destinataire pour action. UNE ORGANISATION POUR L'ÉVALUATION, LE SUIVI, LE DIAGNOSTIC ET LE TRAITEMENT UN POINT D'ENTRÉE UNIQUE DE TOUTES LES ALERTES POUR ÉVALUATION, VALIDATION ET CARACTÉRISATION DE L'INCIDENT / ÉVÈNEMENT DE SÉCURITÉ. Il s'agit d'un personnel, ou d'une structure, dont le rôle essentiel est d'évaluer la nature et la portée des évènements signalés et leurs conséquences effectives et potentielles. C'est ce point d'entrée qui vérifie s'il s'agit bien d'un incident à inscrire dans le dispositif de gestion spécifique prévu, qui va informer les Autorités intéressées, internes et externes, le cas échéant, et organiser la cellule de gestion qui sera chargée de traiter l'affaire. Copyright BCP-Expert Avril

6 Service ou expert, sa spécialité, c'est d'être généraliste de la Sécurité de l Information doté des connaissances et des capacités requises pour la conduite générale des démarches. C'est un manager, le coordonnateur et l'évaluateur nécessaire pour des interventions le plus souvent interdisciplinaires et transversales. L'architecte référent en Sécurité des systèmes d'information défini par l'agence Nationale à la Sécurité des Systèmes d'information (A.N.S.S.I.) a le bon profil pour ce rôle d'ailleurs évoqué dans le référentiel emploi correspondant. Ce n'est surtout pas un spécialiste d'un domaine précis, pas plus en informatique qu'un autre. Ces spécialistes nous les retrouvons dans la Cellule de Traitement des Evènements de Sécurité UNE CELLULE DE TRAITEMENT DES ÉVÈNEMENTS DE SÉCURITÉ POUR UNE APPROCHE COLLÉGIALE DU DIAGNOSTIC ET DU TRAITEMENT Une cellule de veille et d'intervention, la Cellule de Traitement des Evènement de Sécurité est en place pour un travail en mode collaboratif et des points de situation réguliers avec le gestionnaire chargé du suivi, le point d'entrée des alertes. La liste DES SPECIALISTES qui LA COMPOSENT est annexée à la procédure publiée, et tenue à jour régulièrement. Tous les domaines prévus à la norme ISO sont représentés. Les membres de cette cellule sont formés aux enjeux attachés au rôle qui leur est confié afin de pouvoir compter sur leur engagement le moment venu. La composition de l'équipe d'intervention lors d'une alerte est à dimension variable selon le type d'évènement à traiter. Cette structure, dont les membres sont en relation permanente, est chargée de gérer toutes les étapes de traitement de l'évènement depuis sa transmission jusqu'à sa conclusion (analyse, diagnostic, mesures de protection immédiates, identification et mise en œuvre des solutions, tests et validation, ) sauf à alerter le responsable de plan de continuité d activité dans une situation de rupture de service (le lien entre PCA et gestion d incidents est évoqué en fin d article). Elle procède tout d'abord à une étude approfondie des causes et des conséquences du problème signalé. À partir de cet examen, comme au fil de la résolution de l'incident, il peut être fait appel, à tout moment, à d'autres membres de la Cellule de traitement ou à des experts métiers en tant que de besoin, internes et (ou) externes, selon les exigences du dossier et les priorités établies avec les Autorités de l'entreprise. Il est sûr que l'efficacité de l'équipe dépendra des compétences individuelles de ses membres, mais aussi de leur performance collective, c est-à-dire de la qualité de leur travail en collaboration. Copyright BCP-Expert Avril

7 PARALLÈLEMENT AU DIAGNOSTIC ET À LA MISE AU POINT DE LA SOLUTION A partir des premiers éléments collectés, sur site, par téléphone, sauvegardes, modification de contexte, installation de correctifs les intervenants doivent déterminer et mettre en œuvre le plus vite possible les premières mesures destinées si ce n'est à mettre fin, au moins à circonscrire les problèmes et leur propagation et limiter leurs conséquences. Également, si c'est nécessaire, le coordonnateur prévoit et organise les moyens d'aide compensatoire aux utilisateurs pénalisés par l'incident. Et puis, s'il s'agit d'un incident technique, il convient de tester et de valider les éléments de la solution avant de les mettre en place en milieu de production. Alerte, évaluation, diagnostic, traitement, mais aussi communication La Direction doit conserver la maîtrise de l'information dans toutes les situations, particulièrement en cas de crise ou, tout au moins de dysfonctionnement, afin d'éviter la propagation de rumeurs et d'interprétations non contrôlés en interne et à l'extérieur. Il faut, jusqu'à la conclusion de l'incident, informer rapidement et régulièrement les parties intéressées, les personnels, mais aussi les partenaires et les clients. Par conséquent, un volet communication est à inscrire formellement au dispositif. ET PUIS QUELQUES RECOMMANDATIONS L'INTÉGRITÉ DES DÉMARCHES DÉPEND AUSSI DU RESPECT DE QUELQUES RECOMMANDATIONS ÉLÉMENTAIRES À PRENDRE EN COMPTE DANS LA PROCÉDURE : Les initiatives individuelles de correction ou de démonstration d'une faille ou d'une vulnérabilité sont expressément interdites Les interventions sont accomplies par du personnel compétent et habilité Les informations sont accessibles sous contrôle d'accès aux seules personnes autorisées selon leur rôle et responsabilités L'incident, la faille, la vulnérabilité à l'origine du signalement fait l'objet d'une description détaillée confidentielle distincte de la fiche incident Le circuit d'échanges ne contient pas d'autres données à caractère personnel que les coordonnées professionnelles indispensables des personnes associées à la démarche, le déclarant et les intervenants. L'auteur du signalement est tenu informé de la suite donnée à sa démarche Les éléments de preuves sont conservés dans des conditions définies par des compétences juridiques pour pouvoir servir, le cas échéant dans une recherche en responsabilité L'incident, par sa nature, sa portée, sa solution, peut exiger des mesures d'accompagnement pour le retour à un service normal. Cette étape doit être traitée dans la procédure Copyright BCP-Expert Avril

8 AVANT DE CLORE LE DOSSIER, UN BILAN POUR RETENIR ET POUVOIR UTILISER TOUS LES ENSEIGNEMENTS D'UN INCIDENT C'est l'un des intérêts essentiels de la gestion des évènements de sécurité, le bilan à l'issue de chaque affaire doit permettre d'améliorer le niveau de sécurité de l'entreprise notamment par la mise en place d'actions et de mesures correctives et préventives pour que l'incident ne se reproduise pas. Et si, malgré tout, ultérieurement, des problèmes identiques ou similaires se produisent, les connaissances, l'expérience acquises par cette gestion concrètes des risques pourra être réutilisées. Pour cela, le dispositif en place doit prévoir, à la fermeture du dossier, l'enregistrement de ses caractéristiques dans une base de connaissances. GESTION DES ÉVÈNEMENTS DE SÉCURITÉ ET PLAN DE CONTINUITÉ D'ACTIVITÉ Il n'est pas toujours possible de déterminer si un incident va se prolonger jusqu'à empêcher la poursuite de l'activité. Faut-il pour autant informer systématiquement le Responsable de Plan de Continuité d'activité de tout évènement de sécurité porteur de conséquences potentielles pour le système d'information? Systématiquement, non, car les incidents / évènements sont de nature et de portée très différentes. Par contre, dans les situations où des incertitudes importantes pèsent sur les risques de propagation, les conséquences et la durée de l'incident il est recommandé de l'informer. C'est lui seul qui est habilité à déterminer s'il faut, et quand il faut, réunir le Comité de crise inscrit au P.CA. Évidemment, toute situation de mise en cause de la continuité de service doit lui être transférée sans délai pour gestion. Ainsi, l estimation de l impact et de la durée d un incident peut évoluer au cours de son traitement. Dans un sens positif, mais aussi dans un sens négatif. L incident est plus grave que les premiers éléments le laissaient penser. Il peut hypothéquer la poursuite d activités essentielles pour l entreprise. C est pourquoi, la procédure doit-elle prévoir des mécanismes d escalade vers le plan de continuité d activité à partir, autant que possible, de critères clairement définis qui s appuient sur les ressources critiques listées au PCA, les délais d interruption maximale et les perte de données admissibles, sans attendre de les avoir atteints, bien évidemment, pour partager le dossier avec l autorité en charge du plan de continuité d activité (ex. telle application ne doit pas être indisponible plus de ***). Il existe un lien absolu entre les deux processus pour garantir la disponibilité et la continuité de service. C est dans le titre de notre article. La gestion d un incident de sécurité ne doit pas être confondue avec le plan de continuité, mais, elle ne dispense pas d en avoir un! Copyright BCP-Expert Avril

9 EN CONCLUSION Un système de détection et de correction de problème de sécurité n'est pas figé. Il doit évoluer à partir des observations faites au fil des gestions afin d'améliorer son efficience. Communication, sensibilisation, initiations aux risques, travail en collaboration, engagement l'article nous donne l'opportunité de rappeler un principe de pilotage et d'organisation des gestions de la Sécurité de l Information, les solutions ne sont pas que techniques, loin de là. L'efficacité des dispositifs en place repose avant tout sur la vigilance, la réactivité et le respect par chacun des mesures et des moyens prévus pour protéger le patrimoine informationnel de l'entreprise et par la capacité de réviser le système de protection très vite lors de la découverte de nouvelles failles ou vulnérabilités. Et puis, important, la gestion des incidents n'est pas une démarche de sécurité isolée et circonstancielle. Elle prend tout son sens et toute son efficacité dans le cadre d'un système global de management de la sécurité de l'information tel que défini à la norme ISO Enfin, pour terminer, je le confirme, cet article n'a pas d'autre prétention que de faire partager à ses lecteurs une expérience avec ses limites. Il a pour objet de vous inciter, si ce n'est pas encore fait, à mettre en place un dispositif de gestion des incidents, mais, à la condition de lire auparavant la norme ISO et quelques ouvrages d'experts dans le domaine. Il souhaite également susciter vos commentaires pour compléter et fiabiliser l'information qu'il vous propose. Pour cela, vous avez une adresse électronique à votre disposition ACTUALITÉ _ LA GÉNÉRALISATION DE L'OBLIGATION DE NOTIFIER LES INCIDENTS DE SÉCURITÉ À DES AUTORITÉS NATIONALES HABILITÉES EST EN MARCHE Nous pensions en avoir terminé, et puis, une information sur Internet et Pour ceux qui douteraient encore de l'intérêt de gérer de façon structurée les incidents de sécurité, sous forme de règlement ou de directive, des dispositions européennes prévoient, dans les années qui viennent, d'imposer aux entreprises et aux administrations la notification des incidents de sécurité dont elles seront victimes auprès des Autorités nationales compétentes, et ce, pas seulement pour les données à caractère personnel 4. 4 En préparation un règlement européen sur la protection des données à caractère personnel (DCP), mais aussi une directive sur la sécurité des réseaux et de l'information, et, déjà, une obligation faite aux opérateurs de télécommunication français de notifier les incidents portant sur les DCP avec une extension de cette obligation recommandée par la CNIL aux fournisseurs d'électricité pour les compteurs communiquant. Copyright BCP-Expert Avril

10 Alors, il faut être prêt. Et comment l'être de meilleure façon qu'en mettant en place sans attendre un système organisé de remontée, de traitement et de mémorisation des incidents de sécurité. Copyright BCP-Expert Avril

11 GESTION DES EVENEMENTS ET DES INCIDENTS DE SECURITE EN RESUME Politique / Processus / Procédure de gestion des évènements & des incidents de sécurité Enjeux, objectifs, organisation, périmètre, définition précise des évènements pris en compte, des rôles et des responsabilités, détermination des circuits, identification des intervenants, coordination et suivi, traitement, Contexte en place, l'action est portée par la communication qui convient. Étape 1 Détection des évènements Vigilance et réactivité de l'ensemble des utilisateurs du système d'information de l'entreprise. Préalable information, sensibilisation, Initiation aux risques Étape 2 Alerte Signalement Alerte dans les délais les plus brefs, téléphone, messagerie mais, surtout, utilisation d'un formulaire, support de base du dispositif, complété au fil du traitement du problème. Envoi à un interlocuteur unique identifié. Étape 3 Management Identification Évaluation Mise en œuvre du dispositif Direction, service, manager des risques examen de l'alerte par un responsable unique, point d'entrée du système. Classification de l'évènement (juridique, ress. humaines, informatiques, matériel ) Évaluation de portée, d'impact et de durée. Validation ou exclusion ou escalade vers le plan de continuité d'activité Constitution de la cellule de traitement. Coordination et suivi de traitement de l'incident. Étape 4 Traitement collégial Analyse Diagnostic Solution Analyse, diagnostic et mise au point de la solution par une cellule de spécialistes dont la composition dépend de la nature de l'évènement. La liste des experts est préétablie. Ils peuvent se faire aider à tout moment par des compétences internes ou externes. En relation permanente avec le point d'entrée chargé du suivi de traitement. Étape 5 Etape intermédiaire Mesures urgentes Première analyse Mesures conservatoires et de limitation des risques d'extension (sauvegardes, déconnexion, correctifs ) au plus tôt dans la procédure. Mesures de soutien opérationnelles temporaires (aide R.H., postes de travail ) Copyright BCP-Expert Avril

12 Étape 6 Tests et validation de la solution Si nécessaire, la solution corrective mise au point est testée et validée avant sa mise en place en réel. Étape 7 Mise en place de la solution Mise en œuvre de la solution en milieu utilisateur et suivi pour tenir compte des risques de récurrence, de propagation masquée ou de mise en évidence de nouveaux dysfonctionnements après correction. Accompagnement au retour en service normal si la situation l'exige. Étape 8 Bilan Retour d'expérience Mise en place de mesures et de solution préventives / correctives Enrichissement d'une base des incidents pour réutilisation des informations pour un évènement similaire Evaluation de la performance du dispositif Ne pas oublier Servir la communication fonctionnelle, opérationnelle et la communication générale interne et externe Garantir la maîtrise des interventions Préserver la confidentialité des données sensibles Assurer la conformité de conservation des éléments de preuve Informer le déclarant de la suite donnée à son alerte. Copyright BCP-Expert Avril

13 ANNEXE 1 LES COMMENTAIRES APPORTÉS PAR LES LECTEURS DE L'ARTICLE Cette annexe propose un complément d'informations à partir des commentaires reçus pour cet article. C'est un apport précieux à l'amélioration de son contenu. Nous remercions vivement leurs auteurs POURQUOI LA DÉSACTIVATION D'UN ANTI-VIRUS NE RELÈVERAIT-ELLE PAS DE LA GESTION DES INCIDENTS? La désactivation de l'anti-virus est un incident, bien sûr. Sur un, sur quelques postes de travail, c'est un incident informatique courant. Il est signalé au service informatique pour dépannage. Il relève des interventions de maintenance ordinaire (ordinaire et ô combien importante (!)). Par contre, des désactivations répétées sans identification de la cause, voire une désactivation générale, ou tout au moins sur de nombreuses stations, de l'anti-virus, ces situations demandent à être administrées comme des évènements de sécurité de nature à mettre en danger l'intégrité et la disponibilité du système d information de l'entreprise, des évènements qui justifient un suivi particulier. Tout est affaire d'impact, potentiel ou réel. Le modèle de processus proposé intéresse, en effet, les situations de nature à remettre en cause le système d information de l'entreprise, son intégrité, sa disponibilité, sa confidentialité et sa conformité. Ce n'est pas le cas des incidents informatiques courants, du dysfonctionnement ponctuel de l'antivirus, de la panne d'un disque dur ou même une panne de serveur limitée COMMENT FAIRE LA DISTINCTION ENTRE LA SITUATION QUI ENTRE DANS LE DISPOSITIF ET CELLE QUI N'Y ENTRE PAS? La distinction n'est pas toujours évidente, mais elle est nécessaire car le processus est exposé à un risque "mortel", l encombrement et la saturation par la multiplication des alertes injustifiées dont il faut absolument se protéger tout en gardant au dispositif son sens et son efficacité. D'où l'importance de cette distinction à faire entre incident courant et évènement de portée supérieure. Pour cela, il convient de porter la plus grande attention à l'élaboration du tableau de référence des menaces, avec indication de leur origine, de(s) critère(s) de sécurité affecté(s) et de scénarios illustratifs, comme le propose, par exemple, la méthode EBIOS. Un tableau à mettre à jour en tant que de besoin. Un tableau à compléter par une proposition de contact téléphonique en cas de doute sur le caractère d'un incident. Copyright BCP-Expert Avril

14 C'est bien un tel contexte qui doit permettre de progresser collectivement en connaissance sur la perception et la protection contre les risques, l'un des avantages essentiels attendus du dispositif. LE RÉFÉRENTIEL DE BONNES PRATIQUES ITIL PRÉVOIT NOTAMMENT UN SERVICE, UNE ORGANISATION DE LA GESTION DES INCIDENTS. NE PEUT-IL PAS S'APPLIQUER? La mise en place d'un processus de gestion des évènements / incidents de Sécurité de l'information, au sens des normes ISO de la famille des , ne remet pas en cause une approche de type ITIL de la part des services informatiques. En effet, le référentiel ITIL, repris dans la norme ISO , publie des règles de bonnes pratiques afin d'améliorer la qualité et l'efficience du département informatique dans le cadre d'une relation client / fournisseur avec les services de l'entreprise. Le traitement des incidents et des problèmes en font partie, mais uniquement en matière informatique. Alors que la norme Iso , et sa suite, s'attache, elle, aux conditions et modalités de gestion de la Sécurité de l'information dans tous les domaines où elle doit s'exprimer, l'informatique, certes, mais aussi, les sécurités physiques, les ressources humaines, la conformité juridique, l'organisation, etc. Par conséquent, un incident informatique peut parfaitement entrer dans la boucle de traitement de type ITIL / ISO mise en place par votre service informatique, sans que le dispositif de gestion des évènements de Sécurité de l'information dans le cadre normatif ait à en connaître, sauf si la portée de l'incident réelle ou suspectée le justifie. Pour reprendre notre exemple, une désactivation d'ampleur de l'anti-virus relève bien, par sa portée, d'une approche de type L'incident entre dans le dispositif, alors que la désactivation ponctuelle de l'anti-virus sur un poste n'y entre pas, mais tous les deux peuvent parfaitement souscrire aux protocoles ITIL. Sans tomber dans la bureaucratie et le formalisme, car, le temps est compté, nous nous inscrivons bien dans la volonté partagée de travailler ensemble afin de servir une cause commune, assurer à l'entreprise la protection et l'intégrité de son patrimoine informationnel et des moyens indispensables à sa valorisation au service des activités. C'est ainsi particulièrement vrai, pour répondre à un autre commentaire, sur l'urgence à reconnaître aux dispositions conservatoires à prendre afin de limiter les conséquences négatives de l'incident. LE MOYEN D'ALERTE LE PLUS SOUVENT UTILISÉ EST LE HELPDESK. POURQUOI N'EN PARLEZ-VOUS PAS? Le helpdesk est réservé à l'assistance et aux maintenances informatiques. Il entre dans un système de type ITIL. Il n est pas remis en cause, bien au contraire. 5 Normes ISO et Les deux normes sont compatibles. Elles sont même complémentaires. N est-ce pas d ailleurs la norme ISO 27013, toute nouvelle, qui considère tous les avantages qu une organisation peut attendre d une approche combinée des mesures de qualité applicables aux Services Informatiques et des mesures applicable en matière de Sécurité de l Information? Copyright BCP-Expert Avril

15 En effet, placé en situation de recevoir et de traiter les informations de son domaine, il est partenaire majeur du dispositif, dans l analyse et le traitement mais aussi dans l alerte. Par exemple, le service informatique reçoit séparément de nombreux appels pour signaler la désactivation de notre anti-virus de tout à l'heure (toujours lui!). Il lui appartient d'alerter le point d'entrée du dispositif de gestion des incidents de Sécurité de l'information. C est toujours affaire de portée et d impact réels ou potentiels. LE DÉCLARANT EST-IL TOUJOURS EN MESURE DE QUALIFIER UN INCIDENT? Non, certainement pas. Soit, parce que l'évènement n'entre pas dans la liste des risques prévus (qu'il faudra mettre à jour!) soit, il subsiste des incertitudes d'interprétation du référentiel publié. Cette situation ne doit pas remettre en cause le signalement à effectuer. Un échange téléphonique, avant, pendant ou après l'envoi du signalement, doit permettre de lever toute ambiguïté. LE CLUSIF A FAIT UN TRAVAIL REMARQUABLE DANS LE DOMAINE C'est exact. Il a publié un document de référence sur le sujet, un document dont je vous invite à prendre connaissance si vous ne l'avez pas encore fait. Il s'agit d'un guide qui ne peut qu'alimenter utilement notre perception et notre réflexion sur les mécanismes fonctionnels et opérationnels à mettre en œuvre. Il est complété d'une seconde partie qui propose, sous forme de fiches, des informations pratiques sur la marche à suivre dans certains incidents informatiques précis. Il faut savoir aussi que le Club de la Sécurité de l'information Français reprend son travail sur le sujet en 2013 avec la publication de la norme ISO et, notamment, ses liens avec d'autres normes comme la norme ISO (!) À suivre donc, avec beaucoup d'intérêt. INFORMER LE RESPONSABLE DU PLAN DE CONTINUITÉ D'ACTIVITÉ SANS DÉLAI RISQUE DE SURCHARGER L'INTÉRESSÉ. IL CONVIENT DE TROUVER LE BON ENDROIT OÙ PLACER LE CURSEUR. "IL EST RECOMMANDÉ D'INFORMER LE RPCA". IL DOIT Y AVOIR DES CRITÈRES CLAIREMENT DÉFINIS POUR LA PLUPART DES RISQUES. La rubrique consacrée au sujet "Gestion des évènements et plan de continuité d'activité" a été modifiée pour tenir compte de ces observations. La perception des risques et des moyens de s'en préserver est un des avantages majeurs attendus de ce type de dispositif. Pourquoi ne pas le faire valoir dès la présentation du sujet? En effet, pourquoi pas. Alors Copyright BCP-Expert Avril

16 DANS LE SCHÉMA, IL FAUT INDIQUER QU'UN INCIDENT PEUT ÊTRE ITÉRATIF OU QU'IL PEUT EN CACHER UN AUTRE L'étape 7 a été mise à jour en ces termes " Mise en œuvre de la solution en milieu utilisateur et suivi pour tenir compte des risques de récurrence, de propagation masquée ou de mise en évidence de nouveaux dysfonctionnements après correction". Copyright BCP-Expert Avril

17 ANNEXE 2 SÉCURITÉ DE L'INFORMATION [UN FORMULAIRE BASIQUE POUR EXEMPLE LA NORME ANNEXE UN SUPPORT PLUS COMPLET] RAPPORT D'INCIDENT REMONTÉE D'INFORMATION SUIVI DU TRAITEMENT COORDONNEES DU POINT D'ENTREE Partie complétée par le déclarant DATE DU SIGNALEMENT : IDENTITE DU DECLARANT NOM SERVICE OU SOCIETE TELEPHONE IDENTIFICATION DE L'INCIDENT DE SECURITE Préserver l'anonymat des informations TYPE INCIDENTS DE SECURITE [TABLEAU DES RISQUES EN ANNEXE] ORIGINE [*] CRITERES DE SECURITE AFFECTES A E M D I C Ex. Panne matériel A X X Pour vous aider à compléter le tableau (*)ORIGINE : A Accident/défaillance technique / E Erreur/Maladresse M Malveillance/Acte délibéré Les CRITERES DE SECURITE AFFECTES s'apprécient à partir des questions suivantes : LA DISPONIBILITE [D] L'incident a-t-il privé l'utilisateur des moyens informatiques nécessaires à son activité? L'INTEGRITE [I] Les données et les traitements ont-ils subi, ou auraient-ils pu subir, une altération lors de l'incident? Copyright BCP-Expert Avril

18 LA CONFIDENTIALITE [C] L'incident a-t-il provoqué une faille dans la protection des accès aux informations et aux traitements considérés? Il est à noter qu'un dysfonctionnement peut mettre en cause simultanément plusieurs critères de sécurité. C'est l'exemple pris dans la grille ci-dessus. La panne d'un matériel causée par une défaillance technique (ou une erreur d'utilisation) peut avoir des conséquences en termes de disponibilité d'équipement, mais aussi en termes d'intégrité par altération ou perte d'information Partie complétée par le point d'entrée RESOLUTION DE L'INCIDENT DE SECURITE DATE DE DEBUT DU TRAITEMENT: DATE DE FIN DU TRAITEMENT : NOM(S) DE(S) MEMBRES DE L'EQUIPE D'INTERVENTION NOM(S) DE(S) SUPPORT(S) ASSOCIE(S) AU TRAITEMENT NOM(S) DE(S) INTERVENANT(S) EXTERIEUR(S) IDENTIFICATION DU TYPE D'AUTEUR DE L'INCIDENT : Individu Accident Groupe organisée Pas d'auteur DESCRIPTION DE L'AUTEUR : MESURES D'URGENCE MESURES COMPENSATOIRES DE SOUTIEN A L'ACTIVITE MESURES PRISES POUR RESOUDRE L'INCIDENT MESURES DE SUIVI PLANIFIEES - ACTIONS EN COURS (Le cas échéant) MESURES DE RETOUR EN SERVICE NORMAL MESURES PREVENTIVES PRECONISEES Copyright BCP-Expert Avril

19 DATE DU RETOUR D'INFORMATION A L'AUTEUR DU SIGNALEMENT : REMONTEE D'INFORMATION AUTORITES INFORMEES BILAN ET CONCLUSIONS DATE ET SIGNATURE QUELQUES PRECISIONS Cette fiche incident est complétée en tant que de besoin par un descriptif détaillé de l'incident / évènement. C'est un support confidentiel. Il contient des informations sensibles, des informations sur les vulnérabilités du système d'information de l'entreprise. Vous avez noté en Page 1 du modèle, un tableau des risques pour aider à l'identification de l'incident de sécurité. Ce tableau comprend : Une brève description de chaque scénario de risques génériques Les critères de sécurité affectés (disponibilité, intégrité, confidentialité, voire authenticité, si vous le souhaitez) L'indication de l'origine (l'accident, l'erreur, la malveillance). Les référentiels de la méthode EBIOS sont à votre disposition pour établir votre référentiel. Ce ne sont pas les seuls. Copyright BCP-Expert Avril

LA GESTION DES EVENEMENTS ET DES INCIDENTS DE SECURITE NE PEUT PAS ETRE CONFONDUE AVEC LE PLAN DE CONTINUITE D'ACTIVITE

LA GESTION DES EVENEMENTS ET DES INCIDENTS DE SECURITE NE PEUT PAS ETRE CONFONDUE AVEC LE PLAN DE CONTINUITE D'ACTIVITE Auteur : Lionel GUILLET Expert en Management de la Sécurité de l Information LA GESTION DES EVENEMENTS ET DES INCIDENTS DE SECURITE NE PEUT PAS ETRE CONFONDUE AVEC LE PLAN DE CONTINUITE D'ACTIVITE Ce n'est

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Suite dossier d appel

Suite dossier d appel Suite dossier d appel Table des matières 1. INTRODUCTION... 3 2. TRAITEMENT D'UN APPEL... 4 2.1. TRAITEMENT EN DIRECT... 4 2.2. TRAITEMENT DIFFERE... 4 2.3. MECANISME DU TRAITEMENT D'UN APPEL AU NIVEAU

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

Ouvrir dossier D appel

Ouvrir dossier D appel Ouvrir dossier D appel Table des matières 1. TRAITER UN APPEL... 3 1.1. ORGANISATION GENERALE D'UN SERVICE DESK... 3 1.2. PRINCIPE DE FONCTIONNEMENT... 4 2. PRISE EN CHARGE DE L'UTILISATEUR ET DE SON APPEL...

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

LA NORME ISO 14001 A RETENIR

LA NORME ISO 14001 A RETENIR A RETENIR La norme ISO 14001, publiée en 1996, est une norme internationale qui s'applique à tous les types d'organisations (entreprises industrielles, de services, etc.) quelles que soient leurs tailles

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

HD Help-Desk** FIRST ICT User Certificate et connaissances techniques de base

HD Help-Desk** FIRST ICT User Certificate et connaissances techniques de base HD Help-Desk** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage FIRST ICT User Certificate et connaissances techniques de base Etre capable de traiter les demandes informatiques

Plus en détail

COMPARAISON DES DEUX NORMES ISO 9001 (version 2008-version 2015).

COMPARAISON DES DEUX NORMES ISO 9001 (version 2008-version 2015). COMPARAISON DES DEUX NORMES ISO 9001 (version 2008-version 2015). PRINCIPAUX POINTS D EVOLUTION DE LA NORME ISO9001-version 2015 LE TUTOUR Mathieu LAVRAT Elodie VANLERBERGHE Cléa CASTAGNERA Adrian MASTER

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Techniques d évaluation des risques norme ISO 31010

Techniques d évaluation des risques norme ISO 31010 Techniques d évaluation des risques norme ISO 31010 www.pr4gm4.com Gestion des risques Présentation Mars 2010 Copyright 2010 - PR4GM4 Actualité du 27 janvier 2010 2 Actualité du 11 février 2010 3 Domaine

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

GUIDE ASSISTANT DE PREVENTION

GUIDE ASSISTANT DE PREVENTION GUIDE ASSISTANT DE PREVENTION SOMMAIRE PROFIL DE RECRUTEMENT - STATUT... 1 LES QUALITES ATTENDUES LA FORMATION... 1 ROLE, MISSIONS ET CHAMP D INTERVENTION... 1 A. Rôle et champ d intervention... 1 B. Les

Plus en détail

V 1 Février Mars Avril

V 1 Février Mars Avril Brevet de Technicien Supérieur Assistant de gestion PME-PMI A1.1 Recherche de clientèle et contacts Définir et mettre en place une méthode de prospection Repérer et qualifier les prospects Veiller à la

Plus en détail

Référentiel C2I Niveau 1 Version 2

Référentiel C2I Niveau 1 Version 2 Référentiel C2I Niveau 1 Version 2 D1: Travailler dans un environnement numérique D1.1 : Organiser un espace de travail complexe Configurer son environnement de travail local et distant Organiser ses données

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

PROCEDURE GESTION DOCUMENTAIRE

PROCEDURE GESTION DOCUMENTAIRE 1- Objet & finalité Cette procédure définit les modalités d élaboration et de gestion des documents du Système de management de la Qualité de l école. Elle a pour but : de garantir la conformité, d apporter

Plus en détail

Les clauses «sécurité» d'un contrat SaaS

Les clauses «sécurité» d'un contrat SaaS HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric

Plus en détail

FAIRE FACE A UN SINISTRE INFORMATIQUE

FAIRE FACE A UN SINISTRE INFORMATIQUE FAIRE FACE A UN SINISTRE INFORMATIQUE Lorraine Protéger son système d information 1 avec des solutions techniques ne suffit pas toujours pour faire face à un sinistre. En cas de perte, de vol ou de dégradation

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Table des Matières Conditions Spécifiques à l'utilisation des Services d'hébergement Mutualisé...2 1 - Obligations & Responsabilités

Plus en détail

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur :

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur : COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 30/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Responsable d affaires I OBJECTIF PROFESSIONNEL

Plus en détail

BTS SIO Services Informatiques aux Organisations. Session 2014

BTS SIO Services Informatiques aux Organisations. Session 2014 BTS SIO Services Informatiques aux Organisations Option SISR Session 2014 MAZOUZ ANOUAR Activité professionnelle N 3 NATURE DE L'ACTIVITE Création et gestion des Tickets d incidents (Escalation process)

Plus en détail

Charte de l audit interne de la Direction Générale de la Dette

Charte de l audit interne de la Direction Générale de la Dette MINISTÈRE DE L ECONOMIE ET DE LA PROSPECTIVE RÉPUBLIQUE GABONAISE Union-Travail-Justice ------------ -------- SECRETARIAT GENERAL ------------ ------------ DIRECTION DE L AUDIT ET DU CONTROLE ------------

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

TEST D'APTITUDE COMMERCIALE Dossier d'information

TEST D'APTITUDE COMMERCIALE Dossier d'information TEST D'APTITUDE COMMERCIALE Dossier d'information L'outil solution personnalisable pour sélectionner et évaluer les capacités des commerciaux L'écart d'efficacité entre un commercial "moyen" et un "bon"

Plus en détail

Processus Gestion de Projet

Processus Gestion de Projet Processus Gestion de Projet 1 / 11 Contenu 1 Introduction... 3 2 Le cycle de vie du projet... 4 2.1 Présentation... 4 2.2 Cycle de vie d un projet... 5 2.3 Les livrables... 5 3 Les étapes du management

Plus en détail

CQP Animateur(trice) d équipe de logistique des industries chimiques. Référentiels d activités et de compétences Référentiel de certification

CQP Animateur(trice) d équipe de logistique des industries chimiques. Référentiels d activités et de compétences Référentiel de certification CQP Animateur(trice) d équipe de logistique des industries chimiques Référentiels d activités et de compétences Référentiel de certification Désignation du métier ou des composantes du métier en lien avec

Plus en détail

ITIL Mise en oeuvre de la démarche ITIL en entreprise

ITIL Mise en oeuvre de la démarche ITIL en entreprise Introduction 1. Préambule 21 2. Approfondir ITIL V3 22 2.1 Introduction 22 2.2 La cartographie 23 2.2.1 La cartographie de la démarche ITIL V3 23 2.2.2 La cartographie des processus dans les phases du

Plus en détail

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

LES FICHES Domaines. Domaine D1. Travailler dans un environnement numérique

LES FICHES Domaines. Domaine D1. Travailler dans un environnement numérique LES FICHES Domaines Domaine D1 Travailler dans un environnement numérique D1.1 Organiser un espace de travail complexe D1.1.a Connaître le principe de localisation physique des ressources locales et distantes

Plus en détail

L'intérêt de la 27001 pour le CIL

L'intérêt de la 27001 pour le CIL HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet L'intérêt de la 27001 pour le CIL Frédéric Connes

Plus en détail

Communiqué de Pré-Lancement. Sage CRM.com Version 5.7

Communiqué de Pré-Lancement. Sage CRM.com Version 5.7 Communiqué de Pré-Lancement Sage CRM.com Version 5.7 Nouvelle offre produit Présent sur le marché de la Gestion de la Relation Client (CRM) depuis 3 ans en France, Sage compte environ 7000 clients qui

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel : La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients

Plus en détail

Rapport d'audit étape 2

Rapport d'audit étape 2 Rapport d'audit étape 2 Numéro d'affaire: Nom de l'organisme : CMA 76 Type d'audit : audit de renouvellement Remarques sur l'audit Normes de référence : Autres documents ISO 9001 : 2008 Documents du système

Plus en détail

CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN

CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN Diffusion Référence Accès non restreint Charte_SSI_INSAR.doc Version Propriétaire 1 Responsable Qualité Date Jean- Louis Billoët Directeur,

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

L achat de formation en 3 étapes :

L achat de formation en 3 étapes : L achat de formation en 3 étapes : 1- La définition du besoin de formation L origine du besoin en formation peut avoir 4 sources : Une évolution des choix stratégiques de l entreprise (nouveau métier,

Plus en détail

Kit de conduite de projet

Kit de conduite de projet Hugues Marchat Kit de conduite de projet Deuxième édition Éditions d'organisation, 2001, 2003 ISBN : 2-7081-2945-7 Kit de conduite de projet PHASE 4 LE PILOTAGE Cette phase comporte deux étapes et trois

Plus en détail

Table des matières. Chapitre 1 - Outils... 4 1. Espace de stockage 4 1.1. Rafraichir 4 1.2. Déposer un document 4 1.3. Créer un dossier 5

Table des matières. Chapitre 1 - Outils... 4 1. Espace de stockage 4 1.1. Rafraichir 4 1.2. Déposer un document 4 1.3. Créer un dossier 5 2 Table des matières Chapitre 1 - Outils... 4 1. Espace de stockage 4 1.1. Rafraichir 4 1.2. Déposer un document 4 1.3. Créer un dossier 5 2. Assistance centralisée 5 2.1. Principe de fonctionnement 5

Plus en détail

Les principes et les thèmes PRINCE2

Les principes et les thèmes PRINCE2 31 Chapitre 3 Les principes et les thèmes PRINCE2 1. Les principes de la méthode PRINCE2 Les principes et les thèmes PRINCE2 Les principes de la méthode PRINCE2 définissent un cadre de bonnes pratiques

Plus en détail

Entretien professionnel : Guide de l évalué

Entretien professionnel : Guide de l évalué Entretien professionnel : Guide de l évalué REFERENCES JURIDIQUES Loi n 84-53 du 26 janvier 1984 portant dispositions statutaires relatives à la fonction publique territoriale notamment l article 76-1,

Plus en détail

REFERENTIEL D EVALUATION DES ACQUIS DE L EXPERIENCE POUR LE DIPLOME CAFERUIS

REFERENTIEL D EVALUATION DES ACQUIS DE L EXPERIENCE POUR LE DIPLOME CAFERUIS REFERENTIEL D EVALUATION DES ACQUIS DE L EXPERIENCE POUR LE DIPLOME CAFERUIS Référentiel d activités Le référentiel d activités décline les activités rattachées aux six fonctions exercées par l encadrement

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Procédure d habilitation

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Procédure d habilitation Procédure d habilitation Version 1.1 Page 1/12 Historique des versions Date Version Évolutions du document 17/12/2010 1.0 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de

Plus en détail

Management des processus opérationnels

Management des processus opérationnels Ecole Nationale Supérieure de Management Master Management des organisations Management des processus opérationnels Dr TOUMI Djamila Cours n 1: La vision processus dans le management des organisations

Plus en détail

Acheter des actions de formation

Acheter des actions de formation L achat, quel enjeu? Acheter une action, c est acheter une prestation de services intellectuels qui nécessite un certain formalisme pour optimiser l achat au regard des enjeux. C est pourquoi, en complément

Plus en détail

Document de référence des activités et compétences des membres du CHSCT

Document de référence des activités et compétences des membres du CHSCT Document de référence des activités et compétences des membres du CHSCT Au niveau national comme au niveau régional, les partenaires sociaux ont la capacité de fixer les orientations qui seront mises en

Plus en détail

Les exigences de la norme ISO 9001:2008

Les exigences de la norme ISO 9001:2008 Les exigences de la norme ISO 9001:2008! Nouvelle version en 2015! 1 Exigences du client Satisfaction du client Le SMQ selon ISO 9001:2008 Obligations légales Collectivité Responsabilité de la direction

Plus en détail

Sommaire 2. Généralités 3. ISO 27001 et SMG ou le pilotage de NC2 4. Approche processus et cartographie 5

Sommaire 2. Généralités 3. ISO 27001 et SMG ou le pilotage de NC2 4. Approche processus et cartographie 5 Sommaire 2 Généralités 3 ISO 27001 et SMG ou le pilotage de NC2 4 Approche processus et cartographie 5 D une organisation fonctionnelle vers des processus 6 Pilotage des processus et Amélioration continue

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

Cette unité d'enseignement comprend les activités d'apprentissage suivantes : SORH1B08INTR Introduction à la GRH 30 h / 2 C

Cette unité d'enseignement comprend les activités d'apprentissage suivantes : SORH1B08INTR Introduction à la GRH 30 h / 2 C Haute École Louvain en Hainaut www.helha.be Année académique 2015-2016 Bachelier en gestion des ressources humaines HELHa Tournai 1 Rue Frinoise 12 7500 TOURNAI Tél : +32 (0) 69 89 05 06 Fax : +32 (0)

Plus en détail

SLA (Service Level Agrement) Conditions générales

SLA (Service Level Agrement) Conditions générales Route du Grand-Lancy 87 bis 1212 Grand-Lancy / Genève / Suisse Tél. +41 22 596 44 80 Fax +41 22 596 44 89 www.sdpsys.ch SLA (Service Level Agrement) Conditions générales ORGANISATION 1 INTRODUCTION....2

Plus en détail

SSI Sensibilisation à la sécurité de l'information**

SSI Sensibilisation à la sécurité de l'information** SSI Sensibilisation à la sécurité de l'information** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage Connaissances de base en informatique Etre capable de comprendre

Plus en détail

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences Recueil d exigences Version 1.1 Page 1/13 Historique des versions Date Version Évolutions du document 17/12/2010 1.01 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de l

Plus en détail

ACTUALITÉS LANDPARK. Nouvelle version. Landpark Helpdesk. Landpark Helpdesk. Les avantages de la nouvelle version 3.9.2.

ACTUALITÉS LANDPARK. Nouvelle version. Landpark Helpdesk. Landpark Helpdesk. Les avantages de la nouvelle version 3.9.2. ACTUALITÉS LANDPARK Solutions complètes d'inventaire, de gestion de parc et de helpdesk ITIL Avril 2015 Nouvelle version Landpark Helpdesk Landpark vous associe aux meilleurs logiciels de Gestion de Parc

Plus en détail

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique La gestion Citrix Du support technique. Désignation d un Responsable de la relation technique Dans les environnements informatiques complexes, une relation de support technique proactive s avère essentielle.

Plus en détail

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES LOT 2 Fourniture et installation d un système de GED pour la Mairie de La Wantzenau. Fiche technique Cahier des Charges

Plus en détail

Formations Management

Formations Management Formations Management MANAGEMENT ET COMMUNICATION Ecole du Management : Cycle Animateur d équipe Ecole du Management : Cycle Maîtrise Ecole du Management : Cycle Coordinateur Technique Animateur (trice)

Plus en détail

AUDIT MAINTENANCE CURATIVE MAINTENANCE PREVENTIVE HOTLINE

AUDIT MAINTENANCE CURATIVE MAINTENANCE PREVENTIVE HOTLINE Fort de son expérience auprès des PME et Collectivités, MDSI vous propose la gestion complète ou partielle de votre système informatique en associant au sein d'un même contrat : audit, conseil, maintenance

Plus en détail

CAC/GL 62-2007 Page 1 de 5

CAC/GL 62-2007 Page 1 de 5 CAC/GL 62-2007 Page 1 de 5 PRINCIPES DE TRAVAIL POUR L ANALYSE DES RISQUES EN MATIÈRE DE SÉCURITÉ SANITAIRE DES ALIMENTS DESTINÉS À ÊTRE APPLIQUÉS PAR LES GOUVERNEMENTS CAC/GL 62-2007 CHAMP D APPLICATION

Plus en détail

Gestion des incidents

Gestion des incidents HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence

Plus en détail

FICHE PRATIQUE. Comparaison entre les exigences des normes ISO 9001, 14001 et OHSAS 18001

FICHE PRATIQUE. Comparaison entre les exigences des normes ISO 9001, 14001 et OHSAS 18001 SARL Capital de 24 000 Siret 350 521 316 00025 NAF 741G créée en 1989 1bis rue Marcel PAUL - 91742 MASSY Cedex Adresse postale : 6 rue SORET 91600 Savigny sur Orge Tél : 33 (0)1 69 44 20 33 Fax : 33 (0)826

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

Les moteurs de progrès

Les moteurs de progrès MANAGEMENT PILOTAGE Les moteurs de progrès Si le management par les processus connaît une certaine réussite, le pilotage et les processus qui lui sont liés restent précaires. Pourtant là aussi, appliquer

Plus en détail

Informatique et codification Niveau 3

Informatique et codification Niveau 3 LA GESTION DU DEVELOPPEMENT INDIVIDUEL Informatique et codification Niveau 3 EVALUATION GDI DU SALARIE Informatique et codification NOM : PRENOM : Période d'activité : Matricule : Date de l'entretien :

Plus en détail

Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013)

Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013) Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013) 1 Le Système qualité La cartographie des processus, qui se situe entre le manuel qualité et les procédures

Plus en détail

Pré-requis. Objectifs. Préparation à la certification ITIL Foundation V3

Pré-requis. Objectifs. Préparation à la certification ITIL Foundation V3 La phase de stratégie de services Page 83 ITIL Pré-requis V3-2011 et objectifs Pré-requis La phase de stratégie de services Maîtriser le chapitre Introduction et généralités d'itil V3. Avoir appréhendé

Plus en détail

A V I S N 1.613 ----------------------- Séance du jeudi 31 mai 2007 ---------------------------------------

A V I S N 1.613 ----------------------- Séance du jeudi 31 mai 2007 --------------------------------------- A V I S N 1.613 ----------------------- Séance du jeudi 31 mai 2007 --------------------------------------- Projet d'arrêté royal en exécution des articles 5 à 14 de la loi du portant des dispositions

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Extrait 54 Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

Plus en détail

Télésanté Aquitaine Version : 1.0 18/02/2011. TéléSanté Aquitaine. Cahier des Clauses Techniques Particulières CTTP

Télésanté Aquitaine Version : 1.0 18/02/2011. TéléSanté Aquitaine. Cahier des Clauses Techniques Particulières CTTP Télésanté Aquitaine Version : 1.0 18/02/2011 TéléSanté Aquitaine Formalisation d'une PSSI et d'une Charte de sécurité informatique Cahier des Clauses Techniques Particulières CTTP Marché passé selon une

Plus en détail

REseau qualité Enseignement supérieur et Recherche L APPROCHE PROCESSUS. Réunion du 00/00/2011 1

REseau qualité Enseignement supérieur et Recherche L APPROCHE PROCESSUS. Réunion du 00/00/2011 1 L APPROCHE PROCESSUS Réunion du 00/00/2011 1 MISSION QUALITE ET METHODE L APPROCHE PROCESSUS Xavier Darrieutort-Approche_PS-Janv_2012 L APPROCHE PROCESSUS 1. SOMMAIRE Définition d un PROCESSUS Caractérisation

Plus en détail

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières Questionnaire Ce questionnaire d assurance doit être dûment complété, daté et signé par une personne habilitée pour engager la Société Proposante afin que l Assureur puisse faire une offre. La remise de

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Conditions Particulières applicables aux Contrats de Maintenance du Logiciel

Conditions Particulières applicables aux Contrats de Maintenance du Logiciel Conditions Particulières applicables aux Contrats de Maintenance du Logiciel Ref : Table des matières 1 CONDITIONS PARTICULIÈRES APPLICABLES AUX CONTRATS DE MAINTENANCE...2 1.1 Préambule...2 1.2 Obligations

Plus en détail

Développement spécifique d'un système d information

Développement spécifique d'un système d information Centre national de la recherche scientifique Direction des systèmes d'information REFERENTIEL QUALITE Procédure Qualité Développement spécifique d'un système d information Référence : CNRS/DSI/conduite-proj/developpement/proc-developpement-si

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Eric CIOTTI Président du Conseil général des Alpes-Maritimes

Eric CIOTTI Président du Conseil général des Alpes-Maritimes A sa création, en 2005, la FORCE 06, rattachée à l ONF, constituait une unité de forestiers-sapeurs dédiée aux travaux d entretien des infrastructures de Défense des Forêts Contre l Incendie (DFCI) et

Plus en détail

Assistant administratif et comptable niveau 4

Assistant administratif et comptable niveau 4 LA GESTION DU DEVELOPPEMENT INDIVIDUEL Assistant administratif et comptable niveau 4 EVALUATION GDI DU SALARIE Assistant administratif et comptable niveau 4 NOM : PRENOM : Période d'activité : Matricule

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

Méthodologie d Accompagnement. de Projet de Certification ISO 9001

Méthodologie d Accompagnement. de Projet de Certification ISO 9001 Méthodologie d Accompagnement de Projet de Certification ISO 9001 Janvier 2011 Postulats ISO 9001, c est : Maîtriser ce que l on fait Savoir s améliorer On part du principe que : Le niveau de maîtrise

Plus en détail

LA GESTION DU DEVELOPPEMENT INDIVIDUEL. Employé service RH

LA GESTION DU DEVELOPPEMENT INDIVIDUEL. Employé service RH LA GESTION DU DEVELOPPEMENT INDIVIDUEL Employé service RH EVALUATION GDI DU SALARIE Employé service RH NOM : PRENOM : Période d'activité : Matricule : Date de l'entretien : Préambule à l'entretien Ce que

Plus en détail

CONTROLES, ANALYSE ET AMELIORATION

CONTROLES, ANALYSE ET AMELIORATION Manuel de management de la qualité Chapitre 5 : CONTROLES, ANALYSE ET AMELIORATION Approuvé par Guy MAZUREK Le 1/10/2014 Visa Page 2 / 8 SOMMAIRE 1 CONTRÔLES DE CONFORMITE... 3 1.1 Contrôle effectués sur

Plus en détail

REFERENTIEL DE CERTIFICATION

REFERENTIEL DE CERTIFICATION REFERENTIEL DE CERTIFICATION DU TITRE PROFESSIONNEL Assistant(e) Ressources Humaines Niveau III Site : http://www.emploi.gouv.fr REFERENTIEL DE CERTIFICATION D'UNE SPECIALITE DU TITRE PROFESSIONNEL DU

Plus en détail

LA GESTION DES INTERVENTIONS

LA GESTION DES INTERVENTIONS I INTRODUCTION : Une intervention est effectuée à la suite d un évènement prévu ou non. Les conséquences sur la production, la maintenance, l organisation, la sécurité, etc, seront donc différentes. II

Plus en détail

REMISE DES MANIFESTATION D'INTERET AVANT LE 4 DECEMBRE 2012

REMISE DES MANIFESTATION D'INTERET AVANT LE 4 DECEMBRE 2012 REGION POITOU-CHARENTES GESTION DE LA FUTURE RESERVE NATURELLE REGIONALE DU BOCAGE DES ANTONINS APPEL A MANIFESTATION D'INTERET CAHIER DES CHARGES REGION POITOU-CHARENTES 15 rue de l'ancienne Comédie 86000

Plus en détail

CHAPITRE I er OBJET, CHAMP D'APPLICATION ET DÉFINITIONS

CHAPITRE I er OBJET, CHAMP D'APPLICATION ET DÉFINITIONS Règlement CSSF N 12-01 - Fonds d'investissement spécialisés Règlement CSSF N 12-01 arrêtant les modalités d'application de l'article 42bis de la loi du 13 février 2007 relative aux fonds d'investissement

Plus en détail

Instruction. relative à la procédure d habilitation des organismes qui procèdent à la qualification des prestataires de services de confiance

Instruction. relative à la procédure d habilitation des organismes qui procèdent à la qualification des prestataires de services de confiance PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 8 avril 2011 N 1001/ANSSI/SR NOR : PRM D 1 2 0 1 2 9

Plus en détail

Employé administratif et comptable niveau 2

Employé administratif et comptable niveau 2 LA GESTION DU DEVELOPPEMENT INDIVIDUEL Employé administratif et comptable niveau 2 EVALUATION GDI DU SALARIE Employé administratif et comptable niveau 2 NOM : PRENOM : Période d'activité : Matricule :

Plus en détail